Web Authentication, ou WebAuthn, est prise en charge à différents niveaux par Mozilla Firefox, Google Chrome et Microsoft Edge.

Dans la dernière version de Windows 10, version 1809, les utilisateurs Windows peuvent ainsi utiliser Edge pour se connecter à Office 365, Outlook.com, Skype et OneDrive avec une clé de sécurité USB FIDO2, telle que YubiKey 5 ou Security Key de Yubico.

Un test et puis s’en va ?

WebAuthn fonctionne avec un protocole appelé Client to Authenticator Protocol (CTAP), sur lequel les clés FIDO s’appuient pour générer des paires de clés cryptographiques privées et publiques pour s’authentifier sur un site Web. CTAP2 est aussi appelé FIDO2.

“Ajout de Web Authentication en tant que fonctionnalité expérimentale avec support des périphériques CTAP2 USB” explique l’équipe WebKit dans les notes de publication de Safari Technology Preview version 71, qui introduit également le support du dark mode.

Bien que la préversion suggère que Safari supportera WebAuthn à terme, comme le note CNET, le support expérimental ne garantit pas une intégration définitive.

Si plusieurs employés d’Apple appartiennent au groupe de travail WebAuthn, il n’était pas certain qu’Apple se joindra effectivement à Google, Microsoft et Mozilla pour supporter le standard.

Outre les sites Web Microsoft, le standard est supporté par Dropbox, GitHub, Google, Facebook et d’autres.

WebAuthn permet les connexions sans mot de passe, mais il est également utilisé pour rationaliser et améliorer l’authentification à deux facteurs.

Google, par exemple, demande aux utilisateurs de ses Titan Security Keys, ou d’autres clés FIDO2, de les ajouter à son processus de vérification en deux étapes des comptes Google.

L’implémentation de ce standard pourrait réduire le risque que les utilisateurs choisissent des mots de passe de mauvaise qualité et les compromettent lors d’une intrusion ou d’une attaque de phishing.

Un attaquant doté d’un mot de passe correct aurait également besoin d’un accès physique à la clé de sécurité. La clé de sécurité offre par ailleurs une meilleure sécurité que les codes d’accès uniques, qui peuvent toujours être interceptés.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.